Proteger el acceso de usuarios a nuestros sistemas: chroot + sftp

Muchas veces es necesario dar acceso a usuarios externos a nuestros sistemas para que puedan a los entornos de trabajo. En algunos casos para obtener ficheros o subirlos, pero en otros para trabajar conjuntamente con nuestros equipos.  Hoy os comentamos una posible solución que se puede adaptar a varios situaciones.  

Para comenzar os planteamos nuestro problema: un usuario externo a la empresa requiere acceder a varios entornos de desarrollo de un proyecto.

 

La solución que hemos adoptado y que vamos a comentar es la siguiente:

Lo primero el usuario debe acceder por VPN a nuestra red con un certificado que podemos controlar y dar de baja en cualquier momento. La segunda medida, que es la que vamos a desarrollar, consiste en restringir el acceso únicamente mediante SFTP a los entonos de desarrollo y limitar el acceso únicamente a un directorio de trabajo que vamos a definir nosotros.

 

Partimos de un usuario creado en LDAP y con acceso PAM a los entornos, usuario: pepe

Modificamos la configuración del servidor de SSH. Editamos el fichero /etc/ssh/sshd_config   añadimos las siguientes líneas al final

     

    [...]

    Match User pepe

        ChrootDirectory /home/pepe

        AllowTCPForwarding no

        X11Forwarding no

        ForceCommand internal-sftp

    Match


 

A continuación, reiniciamos el servidor SSH  /etc/init.d/ssh restart

 

Para facilitar el acceso a los entornos de desarrollo, utilizamos el comando mount --bin para facilitarle el acceso dentro de su directorio único a los distintos directorios de desarrollo.

 


    # cd /home/pepe

    # mkdir entorno1

    # mount --bind /directoriodedesarrollo/entorno1 entorno1


 

Por último, comprobamos que los permisos del directorio   chmod 755 /home/pepe


 

Ahora el usuario podrá acceder mediante SFTP y trabajar en los entornos de desarrollo de forma segura.

 

Fuentes: http://www.howtoforge.com/chrooted-ssh-sftp-tutorial-debian-lenny | 
Pablo García

Pablo García

http://pablogg.com

Socio fundador de la Cooperativa enreda.coop #FLOSS #InnovacionSocial #ConocimientoAbierto

View Comments